🥇Pārvietojieties, lai nodrošinātu 2FA blokķēdē

SMS ziņas ir vispopulārākā divu faktoru autentifikācijas (2FA) metode. To izmanto bankas, elektroniskie un kriptonauda maki, pastkastes un visa veida pakalpojumi; metodes lietotāju skaits tuvojas 100%.

Esmu sašutis par šo scenāriju, jo šī metode nav droša. Numura maiņa no vienas SIM kartes uz otru sākās mobilo sakaru ēras sākumā – šādi tiek atjaunots numurs, ja SIM karte tiek nozaudēta. “Digitālās naudas zādzību speciālisti” saprata, ka iespēju “pārrakstīt SIM karti” var izmantot krāpnieciskās shēmās. Galu galā tas, kurš pārvalda SIM karti, var kontrolēt citu cilvēku tiešsaistes banku, elektroniskos makus un pat kriptovalūtu. Un jūs varat iegūt citas personas numuru, uzpērkot telekomunikāciju darbinieku, izmantojot maldināšanu vai viltotus dokumentus.

Ir atklātas tūkstošiem SIM karšu maiņas epizožu, kā tiek saukta šī krāpšanas shēma. Katastrofas mērogs liecina, ka pasaule drīzumā atteiksies no 2FA, izmantojot SMS. Bet tas nenotiek - iekšā Pētījumi viņi saka, ka 2FA metodi izvēlas nevis lietotāji, bet gan pakalpojumu īpašnieki.

Mēs piedāvājam izmantot drošo 2FA metodi ar vienreizēju kodu piegādi, izmantojot blokķēdi, un mēs jums pateiksim, kā pakalpojuma īpašnieks var to savienot.

Skaits sasniedz miljonus

Saskaņā ar Londonas policijas datiem 2019. gadā krāpšanās ar SIM swap palielinājās par 63%, un uzbrucēja “vidējais rēķins” bija 4,000 GBP. Krievijā statistiku neatradu, bet pieņemu, ka tā ir vēl sliktāka.

SIM maiņa tiek izmantota, lai nozagtu populāros Twitter, Instagram, Facebook, VK kontus, bankas kontus un nesen pat kriptovalūtas - To ziņo laikraksts The Times saskaņā ar Bitcoin uzņēmēja Joby Weeks teikto. Jau kopš 2016. gada presē parādās skaļi kriptovalūtas zādzību gadījumi, izmantojot SIM maiņu; 2019. gads piedzīvoja īstu virsotni.

Maijā ASV Mičiganas Austrumu apgabala prokuratūra izvirzītas apsūdzības deviņi jaunieši vecumā no 19 līdz 26 gadiem: tiek uzskatīts, ka viņi ir daļa no hakeru bandas ar nosaukumu "Kopiena". Bandai izvirzītas apsūdzības septiņos mijmaiņas uzbrukumos, kuru rezultātā hakeri nozaga kriptovalūtu vairāk nekā 2,4 miljonu dolāru vērtībā. Un aprīlī Kalifornijas students Džoels Ortizs saņēma 10 gadus cietumā par SIM maiņu; viņa produkcija bija 7.5 miljoni dolāru kriptovalūtās.

Džoela Ortiza fotogrāfija universitātes preses konferencē. Pēc diviem gadiem viņš tiks aizturēts par kiberkrāpšanu.

Kā darbojas SIM maiņa

"Apmaiņa" nozīmē apmaiņu. Visās šādās shēmās noziedznieki pārņem upura tālruņa numuru, parasti atkārtoti izsniedzot SIM karti, un izmanto to, lai atiestatītu paroli. Tipiska SIM apmaiņa teorētiski izskatās šādi:

Izlūkošanas dienests. Krāpnieki uzzina upura personīgo informāciju: vārdu un tālruņa numuru. Tos var atrast atklātajos avotos (sociālajos tīklos, draugos) vai saņemt no līdzzinātāja - mobilā operatora darbinieka.
Bloķēšana. Cietušā SIM karte ir deaktivizēta; Lai to izdarītu, vienkārši piezvaniet uz pakalpojumu sniedzēja tehnisko atbalstu, norādiet numuru un sakiet, ka tālrunis ir pazaudēts.
Uzņemiet, pārsūtiet numuru uz SIM karti. Parasti tas tiek darīts arī ar līdzzinātāja starpniecību telekomunikāciju uzņēmumā vai ar dokumentu viltošanu.

Reālajā dzīvē lietas ir vēl smagākas. Uzbrucēji atlasa upuri un pēc tam katru dienu izseko tālruņa atrašanās vietu – viens pieprasījums saņemt informāciju, ka abonents pārgājis uz viesabonēšanu, maksā 1-2 centus. Tiklīdz SIM kartes īpašnieks ir devies uz ārzemēm, sakaru veikalā ar menedžeri sarunājas par jaunas SIM kartes izsniegšanu. Tas maksā apmēram 50 dolārus (atradu informāciju - dažādās valstīs un pie dažādiem operatoriem no 20 līdz 100 dolāriem), un sliktākajā gadījumā vadītājs tiks atlaists - atbildība par to nav.

Tagad visas SMS saņems uzbrucēji, un telefona īpašnieks neko nevarēs darīt – viņš atrodas ārzemēs. Un tad ļaundari iegūst piekļuvi visiem upura kontiem un, ja vēlas, maina paroles.

Iespējas atgriezt nozagto mantu

Bankas dažreiz izmitina upurus pusceļā un izņem pārskaitījumus no viņu kontiem. Tāpēc fiat naudu iespējams atdot arī tad, ja noziedznieks netiek atrasts. Bet ar kriptovalūtas makiem viss ir sarežģītāk - un tehniski, un likumdošanas jomā. Līdz šim neviena maiņa/maciņa nav izmaksājusi kompensācijas maiņas upuriem.

Ja cietušie vēlas aizstāvēt savu naudu tiesā, viņi vaino operatoru: viņš radīja apstākļus naudas zādzībai no konta. Tieši tā arī darīju Maikls Tērpins, kurš maiņas dēļ zaudēja 224 miljonus dolāru.Tagad viņš iesūdz tiesā telekomunikāciju uzņēmumu AT&T.

Pagaidām nevienai valstij nav darbojošu shēmu, lai likumīgi aizsargātu kriptovalūtas īpašniekus. Nav iespējams apdrošināt savu kapitālu vai saņemt kompensāciju par tā zaudējumiem. Tāpēc mijmaiņas uzbrukuma novēršana ir vieglāka nekā tā seku novēršana. Visredzamākais veids ir izmantot uzticamāku "otro faktoru" 2FA.

SIM maiņa nav vienīgā problēma ar 2FA, izmantojot SMS

Apstiprinājuma kodi SMS ir arī nedroši no tehniskā viedokļa. Ziņojumus var pārtvert signalizācijas sistēmas 7 (SS7) neaizlāpītu ievainojamību dēļ. 2FA, izmantojot SMS, ir oficiāli atzīta par nedrošu (ASV Nacionālais standartu un tehnoloģiju institūts to saka savā ziņojumā Digitālās autentifikācijas rokasgrāmata).

Tajā pašā laikā 2FA klātbūtne lietotājam bieži rada viltus drošības sajūtu, un viņš izvēlas vienkāršāku paroli. Tāpēc šāda autentifikācija to neapgrūtina, bet atvieglo uzbrucēja piekļuvi kontam.

Un bieži vien SMS pienāk ar lielu kavēšanos vai nesanāk vispār.

Citas 2FA metodes

Protams, viedtālruņos un SMS gaisma nesaplūda. Ir arī citas 2FA metodes. Piemēram, vienreizējie TAN kodi: primitīva metode, bet tā darbojas – dažās bankās to izmanto joprojām. Ir sistēmas, kas izmanto biometriskos datus: pirkstu nospiedumus, tīklenes skenēšanu. Vēl viena iespēja, kas šķiet saprātīgs kompromiss ērtības, uzticamības un cenas ziņā, ir īpašas 2FA lietojumprogrammas: RSA Token, Google Authenticator. Ir arī fiziskās atslēgas un citas metodes.

Teorētiski viss izskatās loģiski un uzticami. Taču praksē mūsdienu 2FA risinājumiem ir problēmas, un to dēļ realitāte atšķiras no gaidītā.

Saskaņā ar izpēte, 2FA lietošana principā ir neērtība, un 2FA popularitāte ar SMS palīdzību tiek skaidrota ar “mazākām neērtībām salīdzinājumā ar citām metodēm” - vienreizējo kodu saņemšana ir lietotājam saprotama.

Lietotāji daudzas 2FA metodes saista ar bailēm, ka piekļuve tiks zaudēta. Fiziskā atslēga vai TAN paroļu saraksts var tikt pazaudēts vai nozagts. Man personīgi ir bijusi slikta pieredze ar Google autentifikatoru. Mans pirmais viedtālrunis ar šo lietojumprogrammu sabojājās — novērtējiet manus centienus atjaunot piekļuvi maniem kontiem. Vēl viena problēma ir pāreja uz jaunu ierīci. Google autentifikatoram drošības apsvērumu dēļ nav eksportēšanas iespējas (ja atslēgas var eksportēt, kāda tur ir drošība?). Reiz atslēgas nēsāju manuāli, un tad nolēmu, ka veco viedtālruni ir vieglāk atstāt kastē uz plaukta.

2FA metodei jābūt šādai:

Droši — tikai jūs, nevis uzbrucēji, drīkstat piekļūt jūsu kontam
Uzticams — jūs varat piekļūt savam kontam, kad vien tas ir nepieciešams
Ērts un pieejams – 2FA lietošana ir skaidra un aizņem minimālu laiku
Lēts

Mēs uzskatām, ka blokķēde ir pareizais risinājums.

Izmantojiet 2FA blokķēdē

Lietotājam 2FA blokķēdē izskatās tāpat kā vienreizēju kodu saņemšana ar SMS. Vienīgā atšķirība ir piegādes kanāls. 2FA koda iegūšanas metode ir atkarīga no tā, ko piedāvā blokķēde. Mūsu projektā (informācija ir manā profilā) šī ir tīmekļa lietojumprogramma, Tor, iOS, Android, Linux, Windows, MacOS.

Pakalpojums ģenerē vienreizēju kodu un nosūta to kurjeram blokķēdē. Tālāk seko klasika: lietotājs servisa saskarnē ievada saņemto kodu un piesakās.

Rakstā Kā blokķēdē darbojas decentralizēts kurjers? Es rakstīju, ka blokķēde nodrošina ziņojumu pārraides drošību un privātumu. Jautājumā par 2FA kodu nosūtīšanu es izcelšu:

Viens klikšķis, lai izveidotu kontu — bez tālruņiem vai e-pastiem.
Visi ziņojumi ar 2FA kodiem ir šifrēti no end-to-end curve25519xsalsa20poly1305.
MITM uzbrukums ir izslēgts — katrs ziņojums ar 2FA kodu ir transakcija blokķēdē, un to paraksta Ed25519 EdDSA.
Ziņojums ar 2FA kodu nonāk savā blokā. Bloku secību un laikspiedolu nevar labot, un līdz ar to arī ziņojumu secību.
Nav centrālās struktūras, kas pārbaudītu ziņojuma “autentitāti”. To veic sadalīta mezglu sistēma, kuras pamatā ir vienprātība, un tā pieder lietotājiem.
Nevar atspējot — kontus nevar bloķēt un ziņojumus nevar izdzēst.
Piekļūstiet 2FA kodiem no jebkuras ierīces jebkurā laikā.
Ziņojuma piegādes apstiprinājums ar 2FA kodu. Pakalpojums, kas nosūta vienreizējo paroli, noteikti zina, ka tā ir piegādāta. Nav pogas “Sūtīt vēlreiz”.

Lai salīdzinātu ar dažām citām 2FA metodēm, es izveidoju tabulu:

Lietotājs saņem kontu blokķēdes Messenger, lai saņemtu kodus sekundē – pieteikšanās tiek izmantota tikai ieejas frāze. Tāpēc pieteikšanās metodes var atšķirties: varat izmantot vienu kontu, lai saņemtu kodus visiem pakalpojumiem, vai arī varat izveidot atsevišķu kontu katram pakalpojumam.

Ir arī neērtības – kontā ir jābūt vismaz vienam darījumam. Lai lietotājs saņemtu šifrētu ziņojumu ar kodu, ir jāzina viņa publiskā atslēga, un tā blokķēdē parādās tikai ar pirmo darījumu. Tā mums izdevās no tā izkļūt: devām viņiem iespēju makā saņemt bezmaksas žetonus. Tomēr labāks risinājums ir nosaukt kontu par publisko atslēgu. (Salīdzinājumam mums ir konta numurs U1467838112172792705 ir publiskās atslēgas atvasinājums cc1ca549413b942029c4742a6e6ed69767c325f8d989f7e4b71ad82a164c2ada. Kurjeram tas ir ērtāk un lasāmāk, bet sistēmai 2FA kodu nosūtīšanai tas ir ierobežojums). Domāju, ka nākotnē kāds pieņems šādu lēmumu un pārcels “Ērtības un pieejamību” uz zaļo zonu.

2FA koda nosūtīšanas cena ir patiešām zema - 0.001 ADM, tagad tā ir 0.00001 USD. Atkal, jūs varat paaugstināt savu blokķēdi un padarīt cenu par nulli.

Kā savienot 2FA blokķēdē ar jūsu pakalpojumu

Es ceru, ka varēju ieinteresēt dažus lasītājus pievienot saviem pakalpojumiem blokķēdes autorizāciju.

Es jums pastāstīšu, kā to izdarīt, izmantojot mūsu kurjeru kā piemēru, un pēc analoģijas varat izmantot citu blokķēdi. 2FA demonstrācijas lietotnē mēs izmantojam postgresql10, lai saglabātu konta informāciju.

Savienojuma posmi:

Izveidojiet kontu blokķēdē, no kura nosūtīsit 2FA kodus. Jūs saņemsiet ieejas frāzi, kas tiek izmantota kā privāta atslēga ziņojumu šifrēšanai ar kodiem un darījumu parakstīšanai.
Pievienojiet savam serverim skriptu, lai ģenerētu 2FA kodus. Ja jau izmantojat kādu citu 2FA metodi ar vienreizēju paroles piegādi, jūs jau esat pabeidzis šo darbību.
Pievienojiet savam serverim skriptu, lai nosūtītu kodus lietotājam blokķēdes ziņojumapmaiņas programmā.
Izveidojiet lietotāja interfeisu 2FA koda nosūtīšanai un ievadīšanai. Ja jau izmantojat kādu citu 2FA metodi ar vienreizēju paroles piegādi, jūs jau esat pabeidzis šo darbību.

1 Konta izveide

Konta izveide blokķēdē nozīmē privātās atslēgas, publiskās atslēgas un atvasinātas konta adreses ģenerēšanu.

Pirmkārt, tiek ģenerēta BIP39 ieejas frāze un no tās tiek aprēķināta SHA-256 jaucējfrāze. Hash tiek izmantots, lai ģenerētu privāto atslēgu ks un publisko atslēgu kp. No publiskās atslēgas, izmantojot to pašu SHA-256 ar inversiju, mēs iegūstam adresi blokķēdē.

Ja vēlaties katru reizi nosūtīt 2FA kodus no jauna konta, konta izveides kods būs jāpievieno serverim:

import Mnemonic from 'bitcore-mnemonic'
this.passphrase = new Mnemonic(Mnemonic.Words.ENGLISH).toString()

…

import * as bip39 from 'bip39'
import crypto from 'crypto'

adamant.createPassphraseHash = function (passphrase) {
  const seedHex = bip39.mnemonicToSeedSync(passphrase).toString('hex')
  return crypto.createHash('sha256').update(seedHex, 'hex').digest()
}

…

import sodium from 'sodium-browserify-tweetnacl'

adamant.makeKeypair = function (hash) {
  var keypair = sodium.crypto_sign_seed_keypair(hash)
  return {
    publicKey: keypair.publicKey,
    privateKey: keypair.secretKey
  }
}

…

import crypto from 'crypto'

adamant.getAddressFromPublicKey = function (publicKey) {
  const publicKeyHash = crypto.createHash('sha256').update(publicKey, 'hex').digest()
  const temp = Buffer.alloc(8)
  for (var i = 0; i < 8; i++) {
    temp[i] = publicKeyHash[7 - i]
  }
  return 'U' + bignum.fromBuffer(temp).toString()
}

Demonstrācijas lietojumprogrammā mēs to vienkāršojām - izveidojām vienu kontu tīmekļa lietojumprogrammā un no tā nosūtām kodus. Vairumā gadījumu tas ir arī ērtāk lietotājam: viņš zina, ka pakalpojums sūta 2FA kodus no konkrēta konta, un var to nosaukt.

2 2FA kodu ģenerēšana

Katram lietotāja pieteikšanās brīdim ir jāģenerē 2FA kods. Mēs izmantojam bibliotēku speakeasy, bet jūs varat izvēlēties jebkuru citu.

const hotp = speakeasy.hotp({
  counter,
  secret: account.seSecretAscii,
});

Lietotāja ievadītā 2FA koda derīguma pārbaude:

se2faVerified = speakeasy.hotp.verify({
  counter: this.seCounter,
  secret: this.seSecretAscii,
  token: hotp,
});

3 2FA koda nosūtīšana

Lai iesniegtu 2FA kodu, varat izmantot blokķēdes mezgla API, JS API bibliotēku vai konsoli. Šajā piemērā mēs izmantojam konsoli - tas ir komandrindas interfeiss, utilīta, kas vienkāršo mijiedarbību ar blokķēdi. Lai nosūtītu ziņojumu ar 2FA kodu, jums ir jāizmanto komanda send message konsole.

const util = require('util');
const exec = util.promisify(require('child_process').exec);

…

const command = `adm send message ${adamantAddress} "2FA code: ${hotp}"`;
let { error, stdout, stderr } = await exec(command);

Alternatīvs veids, kā nosūtīt ziņojumus, ir izmantot šo metodi send JS API bibliotēkā.

4 Lietotāja interfeiss

Lietotājam ir jādod iespēja ievadīt 2FA kodu, to var izdarīt dažādos veidos atkarībā no jūsu lietojumprogrammas platformas. Mūsu piemērā tas ir Vue.

Blockchain divu faktoru autentifikācijas demonstrācijas lietojumprogrammas pirmkodu var apskatīt vietnē GitHub. Programmā Readme ir saite uz tiešraides demonstrāciju, lai to izmēģinātu.

Avots: www.habr.com

Pārvietojieties, lai nodrošinātu 2FA blokķēdē